谷歌应用商店爆出大量恶意软件，被下载1900万次

近日，云安全厂商Zscaler ThreatLabz披露：仅过去数月，用户已从谷歌官方应用商店下载超过1900万次恶意应用，其中不少应用成功绕过谷歌的自动化安全审查机制。

被点名的77款恶意应用大多伪装成“工具软件”或“个性化小工具”，下载界面其貌不扬，却在安装后迅速露出獠牙。其中最危险的，当属“老牌木马”Anatsa的升级版本。

银行木马再进化：Anatsa的隐身术

Anatsa木马最早在2020年出现，以针对全球金融机构、窃取银行和加密货币账户为主要目标。此次变种，不仅带来更隐蔽的攻击手法，还更新了功能：

• 键盘记录器（Keylogger）：实时截取用户输入的账号与密码；

• 短信拦截器：突破双因素认证，获取验证码；

• 反检测机制：利用DES加密分块下载、动态删除核心Payload，避免传统扫描工具识别。

更棘手的是，这一版本的Anatsa能通过伪造ZIP头部 混淆手段躲避Java库的静态检测。对安全研究员来说，这意味着常规扫描在“假文件头”的欺骗下几乎完全失效，而对普通用户而言，这些应用依旧可以在安卓设备上顺畅运行，毫无异常。

Zscaler警告：这类攻击波及831家金融机构，涵盖传统银行与加密货币交易所。换句话说，如果用户下载了相关应用，极有可能直接损失真金白银。

恶意应用的“顶流”：Joker依旧未退场

虽然Anatsa是这次事件的“技术明星”，但在感染数量上，Joker木马依旧是Play商店的常驻噩梦。自2020年起，Joker专门通过短信钓鱼、窃取凭证，并常年位列恶意应用榜首。根据Zscaler的监测，四分之一的感染案例都与Joker相关。

这背后揭示了一个现实：即便在谷歌官方商店，恶意代码并未减少，反而不断演化。攻击者依靠“恶意软件即服务”的黑产模式，用低门槛的脚本完成广告欺诈、流量劫持，成本极低却能轻松牟利。

谷歌的回应：早发现了

面对外界质疑，谷歌方面回应称：其内部安全机制在Zscaler报告之前就已发现并屏蔽了部分恶意应用。然而，谷歌并未明确说明这一“提前发现”是否源于Zscaler的“负责任披露”。

这种暧昧回应，恰恰击中了外界对谷歌应用商店审核流程的担忧。毕竟，相比苹果App Store的“强管控”，谷歌Play本就以“更开放、更快审核”著称。但开放的代价，就是恶意应用更容易趁虚而入。

谁来为安卓应用商店的安全兜底？

谷歌Play商店月活跃用户超25亿，覆盖190个市场，是全球最大的移动应用分发渠道。但当1900万次恶意下载的数字曝光，不禁让人追问：

• 平台审核是否需要加强：谷歌的自动化检测是否需要更多人工介入？

• 用户安全意识教育：在处理APP权限申请时，用户如何辨别真伪？

• 第三方安全厂商：是否应承担更重要的角色，与平台形成安全合力？

现实是，安全与开放本就是一对永恒矛盾。对安卓商店的运营者而言，要么继续依赖“先上架后补救”的逻辑，要么投入更大成本把好前置关口。 而对用户来说，下载应用时保持警惕（即便来自所谓的“官方应用商店”），或许才是最后一道防线。

参考链接：

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。